2021年7月21日 ,七大部委入驻滴滴调查历时一年之后,国家互联网信息办公室(以下简称国家网信办)对滴滴全球股份有限公司(以下简称滴滴)依法作出了网络安全审查相关行政处罚的决定。靴子,终于落地了。
2021年6月10日,滴滴公司向美国证监会递交IPO申请,6月30日,滴滴正式在纽交所挂牌上市,股票代码为“DIDI”。从交申请到上市,只用短短了20天,快得有些不可思议。选择在100周年庆典前一天突击上市,滴滴这个让很多人诧异添堵的举动是不是有点意味深长?
去年7月2日,有关部门发出公告,启动对滴滴的网络安全审查,同时停止新的用户的注册,7月4日滴滴APP下架。7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴公司,开展网络安全审查。可谓一石激起千层浪。
一、网络和数据安全的违法成本极高
经国家网信办查实,滴滴违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。国家网信办对滴滴处人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
虽然没有披露对滴滴罚款金额的计算依据,但参照滴滴披露的2021年年报数据,去年滴滴实现营收1738.27亿元,罚款额基本上约为其去年营收的5%。这应该是在《网络安全法》《数据安全法》《个人信息保护法》三部法律的罚则中,适用了处罚力度最大、最严厉的《个人信息保护法》第六十六条的规定,施以顶格重罚。
早期有人对滴滴董事长程维和总裁柳青进行采访时,两人均表示要把滴滴打造成一个万亿美元级别的公司,毫不掩饰他们对于大洋另一侧的野心。所以除了资本方的要求外,滴滴也是有自己的盘算的。上市前几年,滴滴一直亏损,但持续烧钱却带来了滴滴市值的攀升。唯有上市,才是让资本方套现离场的最好方式。当初滴滴如果选择在香港上市,监管方是可能接受的。但在香港上市,估值比在美国上市的估值低了足足200亿美元。自然去美国上市才更符合他们的利益诉求。
出乎意料的上市即被调查,也导致了去年12月3日滴滴就对外宣布拟从纽交所退市,拟转赴香港上市。不过,2022年3月,滴滴暂停港股上市进程,原因是未能在规定期限内,完成数据安全的整改建议。6月2日滴滴正式向美国证交会提交退市申请表。按照规定,提交申请文件10天后退市决定生效。如今,滴滴已正式从纽交所退市。6月10日最后交易日的公司股价为2.29美元,市值111.16亿美元。发行价14美元,以上市首日收盘价计算,滴滴当时市值为677.93亿美元。这意味着,滴滴上市不到一年时间,市值缩水了566.77亿美元,约合人民币3800亿元。上市156天后,因网络、数据安全和个人信息保护方面的违规而黯然离场。
对于滴滴公司来说,美国纽交所的这一趟经历是如此的短暂,而代价却无比沉重。正所谓,其兴也勃焉,其亡也忽焉。
二、网络和数据安全的违法后果极重
从国家网信办披露的材料来看,滴滴公司构成16项违法事实,归纳起来主要有8个方面。
一是违法收集用户手机相册中的截图信息1196.39万条;
二是过度收集用户剪切板信息、应用列表信息83.23亿条;
三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;
八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
这还不包括滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法没有公开。
所以,此次对滴滴公司的重罚,公开披露出来的原因虽然更多的是个人信息保护方面内容,但也提到还涉及网络安全,尤其是关键信息基础设施的网络安全和数据安全。
从违法行为的性质看,滴滴未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。笔者认为,这已经涉嫌构成刑法第286条的拒不履行信息网络安全管理义务罪。构成该罪的两个重要条件,一是网络服务提供者不履行网络安全管理义务,经监管部门责令采取改正措施而拒不改正;二是发生了如前所述的若干情节严重的违法行为,滴滴都满足。
再从违法行为的持续时间看,违法行为最早始于2015年6月,持续长达7年;从违法行为的危害看,滴滴违法收集用户剪切板信息、相册截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益;从违法处理个人信息的数量看,滴滴违法处理个人信息达647.09亿条,数量巨大,其中还包括人脸信息、精准位置信息、身份证号等多类敏感个人信息。滴滴多个违法App还违反规定,过度收集个人信息、强制收集敏感个人信息、频繁索权、未尽告知义务、未尽网络安全数据安全保护义务等多种情形。
滴滴事件的底层逻辑在于特定商业模式下的数据伦理问题。这些数据伦理问题通过数据滥用、数据安全、数据霸权、算法霸权和算法歧视等形式呈现出来,而其本质是对隐私权、数据权、人的自由和社会公平等的侵害可能进一步引发数据安全与国家安全风险。
考虑到滴滴的严重违法行为及情节、后果,罚款80多亿,就行政处罚角度而言是过罚相当的。但如果就案件本身而言,已经涉嫌刑事犯罪,即使不追究刑事责任,也应当是基于行、刑衔接机制,通过我国正在试点的刑事合规不起诉制度来实现。果如是,这必将成为我国在数据刑事合规方面的一个经典案例。
三、网络与数据安全合规是互联网时代企业的生命线
滴滴事件的最大价值是敲响了三个警钟:一是给网络数据方面的国家安全敲响了警钟,二是给互联网时代的企业合规敲响了警钟,三是给创业投资者敲响了警钟。忽略任何一个要素都可能导致灾难性的后果。
(一)从行业监管的角度看,所有领域都越来越严
近年来,国家先后颁布了网络与数据安全和个人信息保护领域的三法三规:《网络安全法》《数据安全法》《个人信息保护法》,《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等,还有一些法规规章正在制定出台中。
网信部门等必将加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。
2021年7月6日,中办、国办印发了《关于依法从严打击证券违法活动的意见》,提出加强跨境监管合作,完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。要求抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司网络、数据安全的主体责任。
其它行业,如金融、能源、医疗健康、教育等也采取了越来越严格的监管态势。
(二)从数据利用的角度看,也以安全为保障和前提
习总书记讲,数据是新的生产要素,是基础性和战略性资源,也是重要生产力。《数据安全法》第十三条规定,国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。监管部门绝不可能姑息互联网企业成为数字时代的“法外之地”,更不能容忍这些海量的隐私数据在无监管的状态下,随着中概股企业赴外上市,把数据流失到国外。
表面上,滴滴与先后被网络安全审查的互联网相关企业只是一个孤立的数据与安全事件,但这些赴外上市的互联网企业,可能确实在处理数据与安全问题时触碰到了国家安全的底线,而这个底线是无法容忍的。监管部门短期内可能会对对中国企业赴外上市进行严格监管。
互联网企业和传统企业都应全面了解自己在网络安全、数据安全和个人信息保护方面的合规义务,并将各种保护义务落到实处,完善网络数据安全相关制度和流程,建立常态化的合规机制,无论是国企、民企还是外企,无论在国内还是境外均应重视数据保护的全流程合规。
(三)从合规治理的角度看,滴滴事件不是起点,更非终点
对于广大互联网企业来说,2019年的墨迹科技IPO夭折和这次滴滴事件的教训不可谓不深刻。监管部门的监管要求,恰是企业应当做到的基本合规义务。中国各种市场主体的合规,已经从央企、国企蔓延到了各类民企;已经从刑事合规延伸到行政合规;也已经从传统的合规领域覆盖到网络、数据安全和个人信息保护等新兴领域。
滴滴事件对整个网约车行业及所有的互联网企业来说,都是一个值得深入研究及警示的案例。从公布的违法事实来看,滴滴几乎触犯了网络、数据安全和个人信息保护方面的所有合规规定。无论是互联网企业还是传统类企业,都要对法律有敬畏之心。不能再像过去那样为了商业利益,不择手段地过度收集用户信息。
创新是互联网时代的永恒主题,滴滴曾是行业创新的标杆。但创新应有底线。在强监管时代,各类企业做好自己在网络、数据安全和个人信息保护上的合规已经迫在眉睫。